Ces dernières semaines, une campagne a été détectée qui combine deux vecteurs très courants : les résultats sponsorisés par les moteurs de recherche et le contenu public généré par les modèles de langue. Les attaquants ont réussi à placer des annonces sur Google ce point aux guides hébergés dans Claude ou à des pages qui imitent Assistance technique Apple, avec l'intention que les utilisateurs de macOS fonctionnent sur les commandes Terminal qui installent un infostealer connu sous le nom de MacSync.
Un « artefact » de Claude est simplement une sortie du modèle (instructions, fragments de code ou guides) que son auteur publie en tant que ressource publique accessible par un lien dans la claude. domaine. Ces pages indiquent que le contenu a été généré par un utilisateur et n'a pas été vérifié, mais cela n'a pas empêché les acteurs malveillants de l'utiliser comme vecteur pour tromper les gens à la recherche de solutions techniques concrètes.
Des chercheurs du laboratoire de recherche MacPaw, Moonlock Lab, et des analystes de la société AdGuard ont identifié les résultats manipulés liés à des recherches telles que « solution DNS en ligne », « analyseur d'espace disque MacOS CLI » et « HomeBrew ». Les liens malveillants mènent bien à un artefact public dans Claude, ou à un article dans Medium qui passe par le support Apple ; dans les deux cas, le but est le même : convaincre l'utilisateur de coller une commande dans Terminal et appuyez sur Entrée.
Au moins deux variantes de tromperie ont été observées. L'un est indiqué pour exécuter une chaîne qui décode et passe directement à zsh par quelque chose d'équivalent à une pipe de base64; l'autre est encouragé à utiliser une boucle qui télécharge un script d'une URL contrôlée par l'attaquant et l'exécute avec zsh. Pour éviter la propagation de dominos actifs, les chercheurs révèlent ces adresses avec des points remplacés (p. ex. raxelpak [.] com et a2abotnet [.] com). Le résultat de l'exécution de ces commandes est le téléchargement d'un chargeur qui déploie l'infostealer MacSync.
Selon l'analyse technique publiée par les chercheurs, les logiciels malveillants établissent la communication avec l'infrastructure de commande et de contrôle en utilisant les identifiants intégrés dans le code lui-même, falsifie l'agent utilisateur d'un navigateur dans macOS pour apparaître trafic légitime et, plus dangereux, utilise osascript(AppleScript) pour accéder et extraire des données sensibles : clés, identifiants enregistrés dans les navigateurs et les pièces de cryptomoneda. Les informations collectées sont emballées dans un fichier temporaire (par exemple / tmp / osalogging.zip) et envoyées au serveur attaquant par des requêtes HTTP POST; si le téléchargement échoue, le fichier est fragmenté et récupéré plusieurs fois avant que les logiciels malveillants ne nettoient les traces.
La portée est inquiétante : Moonlock Lab a rapporté que le guide malveillant publié dans Claude a accumulé des dizaines de milliers de visites (les chercheurs ont rapporté des chiffres supérieurs à 15 000 visualisations), et AdGuard a détecté la même publication avec plus de 12 000 visites quelques jours plus tôt. Ces métriques donnent une idée du nombre de personnes exposées à la tromperie. Moonlock Lab a communiqué ses conclusions publiquement sur X, ce qui permet d'examiner l'échange d'alertes et de preuves techniques dans le contexte : Fil Moonlock Lab. Ils ont également fourni une couverture médiatique spécialisée qui a documenté la technique et le dispositif utilisés.
Ce type de campagne n'est pas un développement isolé: les attaquants ont déjà été documentés en utilisant des conversations partagées d'autres modèles majeurs tels que ChatGPT ou Grok pour distribuer des infostealers (par exemple la famille AMOS). Ce que ce cas montre, c'est que l'abus se répand sur différentes plates-formes LLM et que combiner les résultats payés dans les moteurs de recherche avec le contenu public IA peut augmenter la visibilité des leurres.
Compte tenu de cette situation, des précautions très spécifiques doivent être prises. Ne touchez pas les commandes Terminal que vous ne comprenez pas et des pages de méfiance qui vous demandent d'exécuter des recettes "rapides" en copie et en frappe. Si vous avez trouvé la commande dans une sortie d'un chatbot ou dans un guide en ligne, une bonne pratique est de demander dans la même conversation que le modèle lui-même explique, étape par étape et en détail, ce que cette commande fait et ce qu'elle comporte; les équipes de sécurité comme Kaspersky ont exactement recommandé que vérifier comme un filtre initial contre le soi-disant "pasteur" ou guides malveillants. Pour les requêtes de sécurité dans macOS, vérifiez également la documentation officielle Apple et les sources de sécurité reconnues avant d'exécuter les instructions.
En plus de la prudence de l'utilisateur, il existe des mesures qui aident à atténuer le risque dans l'équipement : tenir macOS à jour, activer les protections du système comme Gatekeeper et la notariation, utiliser des solutions de sécurité pour les paramètres et examiner les autorisations d'application et l'accès aux clés. Pour les gestionnaires et les responsables de la sécurité, il est pertinent de surveiller le trafic sortant suspect et de bloquer les domaines C2 connus, ainsi que de travailler avec les réseaux et les plateformes publicitaires pour atténuer l'émergence d'annonces qui ciblent les contenus malveillants.
Enfin, cet incident soulève une plus grande question : les plateformes qui permettent le partage des sorties du modèle et les réseaux publicitaires doivent améliorer leurs mécanismes de vérification afin d'empêcher que le contenu généré ou promu ne soit utilisé comme vecteur d'infection. À mesure que ces protections évoluent, la meilleure défense continuera d'être la combinaison de la sensibilisation des utilisateurs, de bonnes pratiques de sécurité de base et l'utilisation de sources fiables pour apprendre ou exécuter toute instruction technique.
Pour ceux qui veulent approfondir les rapports originaux, vous pouvez lire la couverture technique et l'analyse publiée par les médias et les équipes qui ont enquêté sur la campagne, comme le rapport Moonlock Lab et les notes des sociétés de sécurité et de blocage publicitaire: en plus de la propre plateforme de Claude ( Claude.ai), voir les publications de Laboratoire MacPaw / Moonlock la section de sécurité de Calculateur et le blog de Conseil de mettre en contexte les constatations et de suivre les recommandations d'atténuation.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...